Đề tài 28: Bảo mật mạng LAN không dây Contents I TỔNG QUAN VỀ MẠNG WLAN Khái niệm lịch sử hình thành mạng WLAN 1.1 Wireless LAN gì? WLAN loại mạng máy tính việc kết nối thành phần mạng không sử dụng loại cáp mạng thông thường, môi trường truyền thông thành phần mạng không khí Các thành phần mạng sử dụng sóng điện từ để truyền thông với 1.2 Lịch sử đời Công nghệ WLAN lần xuất vào cuối năm 1990, nhà sản xuất giới thiệu sản phẩm hoạt động băng tần 900Mhz Những giải pháp (không thống nhà sản xuất) cung cấp tốc độ truyền liệu 1Mbps, thấp nhiều so với tốc độ 10Mbps hầu hết mạng sử dụng cáp thời Năm 1992, nhà sản xuất bắt đầu bán sản phẩm WLAN sử dụng băng tần 2.4Ghz Mặc dầu sản phẩm có tốc độ truyền liệu cao chúng giải pháp riêng nhà sản xuất không công bố rộng rãi Sự cần thiết cho việc hoạt động thống thiết bị dãy tần số khác dẫn đến số tổ chức bắt đầu phát triển chuẩn mạng không dây chung Năm 1997, Institute of Electrical and Electronics Engineers(IEEE) phê chuẩn đời chuẩn 802.11, biết với tên gọi WIFI (Wireless Fidelity) cho mạng WLAN Chuẩn 802.11 hỗ trợ ba phương pháp truyền tín hiệu, có bao gồm phương pháp truyền tín hiệu vô tuyến tần số 2.4Ghz Năm 1999, IEEE thông qua hai bổ sung cho chuẩn 802.11 chuẩn 802.11a 802.11b (định nghĩa phương pháp truyền tín hiệu) Và thiết bị WLAN dựa chuẩn 802.11b nhanh chóng trở thành công nghệ không dây vượt trội Các thiết bị WLAN 802.11b truyền phát tần số 2.4Ghz, cung cấp tốc độ truyền liệu lên tới 11Mbps IEEE 802.11b tạo nhằm cung cấp đặc điểm tính hiệu dụng, thông lượng (throughput) bảo mật để so sánh với mạng có dây Năm 2003, IEEE công bố thêm cải tiến chuẩn 802.11g mà truyền nhận thông tin hai dãy tần 2.4Ghz 5Ghz nâng tốc độ truyền liệu lên đến 54Mbps Thêm vào đó, sản phẩm áp dụng 802.11g tương thích ngược với thiết bị chuẩn 802.11b Hiện chuẩn 802.11g đạt đến tốc độ 108Mbps-300Mbps Cuối năm 2009, chuẩn 802.11n IEEE phê duyệt đưa vào sử dụng thức Hiệp hội Wi-Fi (Wi-Fi Alliance) kiểm định cấp chứng nhận cho sản phẩm đạt chuẩn Mục tiêu công nghệ tăng tốc độ truyền tầm phủ sóng cho thiết bị cách kết hợp công nghệ vượt trội tiên tiến Về mặt lý thuyết, 802.11n cho phép kết nối với tốc độ 300 Mbps Các chuẩn mạng thông dụng WLAN 2.1 Chuẩn 802.11 Năm 1997, IEEE (Institute of Electrical and Electronics Engineers) giới thiệu chuẩn cho WLAN Chuẩn gọi 802.11 sau tên nhóm thiết lập nhằm giám sát phát triển Tuy nhiên, 802.11chỉ hỗ trợ cho băng tần mạng cực đại lên đến 2Mbps – chậm hầu hết ứng dụng Với lý đó, sản phẩm không dây thiết kế theo chuẩn 802.11 ban đầu dần không sản xuất 2.2 Chuẩn 802.11b Chuẩn đưa vào năm 1999, cải tiến từ chuẩn 802.11 Cũng hoạt động dải tần 2,4 Ghz sử dụng trải phổ trực tiếp DSSS Tốc độ Access Point lên tới 11Mbps (802.11b), 22Mbps (802.11b+) Các sản phẩm theo chuẩn 802.11b kiểm tra thử nghiệm hiệp hội công ty Ethernet không dây (WECA) biết đến hiệp hội Wi-Fi, sản phẩm Wireless WiFi kiểm tra đạt mang nhãn hiệu Hiện IEEE 802.11b chuẩn sử dụng rộng rãi cho Wireless LAN Vì dải tần số 2,4Ghz dải tần số ISM (Industrial, Scientific and Medical: dải tần vô tuyến dành cho công nghiệp, khoa học y học, không cần xin phép) sử dụng cho chuẩn mạng không dây khác là: Bluetooth HomeRF, hai chuẩn không phổ biến 801.11 Bluetooth thiết kế sử dụng cho thiết bị không dây mà Wireless LAN, dùng cho mạng cá nhân PAN(Personal Area Network) Như Wireless LAN sử dụng chuẩn 802.11b thiết bị Bluetooth hoạt động dải băng tần Bảng 1: Một số thông số kỹ thuật chuẩn IEEE 802.11b Release Date Op Data Rate Data Rate Range Frequency (Typ) (Max) (Indoor) October 1999 2.4 GHz 4.5 Mbit/s 11 Mbit/s ~35 m 2.3 Chuẩn 802.11a Đây chuẩn cấp phép dải băng tần Nó hoạt động dải tần số Ghz sử dụng phương thức điều chế ghép kênh theo vùng tần số vuông góc (OFDM) Phương thức điều chế làm tăng tốc độ kênh (từ 11Mbps/1kênh lên 54 Mbps/1 kênh) Có thể sử dụng đến Access Point (truyền kênh Nonoverlapping,kênh không chồng lấn phổ), đặc điểm dải tần 2,4Ghz sử dụng Access Point (truyền kênh Non – overlapping) Hỗ trợ đồng thời nhiều người sử dụng với tốc độ cao mà bị xung đột Các sản phẩm theo chuẩn IEEE 802.11a không tương thích với sản phẩm theo chuẩn IEEE 802.11 802.11b chúng hoạt động dải tần số khác Tuy nhiên nhà sản xuất chipset cố gắng đưa loại chipset hoạt động chế độ theo hai chuẩn 802.11a 802.11b Sự phối hợp biết đến với tên WiFi5 ( WiFi cho công nghệ 5Gbps) Bảng 1: Một số thông số kỹ thuật chuẩn IEEE 802.11a Release Date Op Data Rate Data Rate Range Frequency (Typ) (Max) (Indoor) October 1999 GHz 23 Mbit/s 54 Mbit/s ~35 m 2.4 Chuẩn 802.11g Bản dự thảo tiêu chuẩn đưa vào tháng 10 – 2002 Sử dụng dải tần 2,4 Ghz, tốc độ truyền lên đến 54Mbps Phương thức điều chế: Có thể dùng phương thức Dùng OFDM (giống với 802.11a) tốc độ truyền lên tới 54Mbps Dùng trải phổ trực tiếp DSSS tốc độ bị giới hạn 11 Mbps Tương thích ngược với chuẩn 802.11b Bị hạn chế số kênh truyền Bảng 1: Một số thông số kỹ thuật chuẩn IEEE 802.11a Release Date Op Data Rate Data Rate Range Frequency (Typ) (Max) (Indoor) June 2003 2.4 GHz 23 Mbit/s 54 Mbit/s ~35 m 2.5 Chuẩn 802.11n Chuẩn 802.11n xúc tiến để đạt tốc độ 100 Mb/giây, nhanh gấp lần chuẩn 802.11g cho phép thiết bị kết nối hoạt động với khoảng cách xa mạng Wi-Fi hành Winston Sun, giám đốc công nghệ công ty không dây Atheros Communications, nhận xét, thiết bị tương thích 802.11n truy cập điểm hotspot với tốc độ 150 MB/giây với khoảng cách lý tưởng 6m, khả liên kết giảm người dùng cách xa điểm truy cập 802.11n chưa thể sớm trở thành chuẩn Wi-Fi hệ số mạng WiFi không thuộc thông số 802.11n giới thiệu Theo Sun, chuẩn Wi-Fi mắt tự động dò tần sóng thích hợp để kết nối Internet Chính thế, thiết bị hỗ trợ 802.11n “độc chiếm” phổ Wi-Fi phải “nhường” sóng cho mạng kết nối khác Ông Sun cho biết, tốc độ truy cập Wi-Fi giảm tỷ lệ nghịch với khoảng cách từ thiết bị tới hotspot cho phép máy cầm tay, iTV Apple stream đoạn video clip stream video nén có độ nét cao Bảng 1: Một số thông số kỹ thuật chuẩn IEEE 802.11a Release Date Op Data Rate Data Rate Range Frequency (Typ) (Max) (Indoor) June 2009 GHz and/or 74 Mbit/s 300 Mbit/s (2 ~70 m 2.4 GHz streams) 2.6 Một số chuẩn khác - IEEE 802.11c: thủ tục quy định cách thức bắt cầu mạng WiFi Tiêu chuẩn thường cặp với 802.11d - IEEE 802.11e: đưa QoS (Quality of Service) vào Wi-Fi, qua đặt thứ tự ưu tiên cho gói tin, đặc biệt quan trọng trường hợp băng thông bị giới hạn tải - IEEE 802.11F: giao thức truy cập nội Access Point, mở rộng cho IEEE 802.11 Tiêu chuẩn cho phép Access Point “nói chuyện” với nhau, từ đưa vào tính hữu ích cân tải, mở rộng vùng phủ sóng Wi-Fi… - IEEE 802.11h: bổ sung cho 802.11a để quản lý dải tần GHz nhằm tương thích với yêu cầu kỹ thuật châu Âu - IEEE 802.11i: bổ sung bảo mật Chỉ thiết bị IEEE 802.11g bổ sung khả bảo mật Chuẩn thực tế tách từ - IEEE 802.11e WPA thành phần mô tả 802.11i dạng thảo, 802.11i thông qua chuyển thành WPA2 (với tính chất mô tả bảng trên) - IEEE 802.11j: bổ sung để tương thích điều kiện kỹ thuật Nhật Bản - IEEE 802.11k: tiêu chuẩn việc quản lí tài nguyên sóng radio Chuẩn dự kiến hoàn tất đệ trình thành chuẩn thức năm - IEEE 802.11p: hình thức kết nối mở rộng sử dụng phương tiện giao thông (vd: sử dụng Wi-Fi xe buýt, xe cứu thương…) Dự kiến phổ biến vào năm 2009 - IEEE 802.11r: mở rộng IEEE 802.11d, cho phép nâng cấp khả chuyển vùng - IEEE 802.11T: tiêu chuẩn WMM mô tả bảng - IEE 802.11u: quy định cách thức tương tác với thiết bị không tương thích 802 (chẳng hạn mạng điện thoại di động) - IEEE 802.11w: nâng cấp tiêu chuẩn bảo mật mô tả IEEE 802.11i, giải đoạn khởi đầu Cấu trúc số mô hình mạng WLAN 3.1 Cấu trúc mạng WLAN Mạng sử dụng chuẩn 802.11 gồm có thành phần chính: - Hệ thống phân phối (Distributed System – DS) - Điểm truy cập (Access Point) - Tần liên lạc vô tuyến (Wireless Medium) - Trạm (Stations) 3.2 Thiết bị hạ tầng 3.2.1 Điểm truy cập (Access Point) Access Point thiết bị song công (Full duplex) có mức độ thông minh tương đương với chuyển mạch Ethenet phức tạp (Switch) Cung cấp cho máy khách (client) điểm truy cập vào mạng 3.2.2 Các thiết bị máy khách mạng WLAN a) Card PCI Wireless Là thành phần phổ biến mạng WLAN Dùng để kết nối máy khách vào hệ thống mạng không dây Được cắm vào khe PCI máy tính Loại sử dụng phổ biến cho máu tính để bàn kết nối vào mạng không dây b) Card PCMCIA Wireless Trước sử dụng máy tính xác tay (laptop) thiết bị hỗ trợ cá nhân số PDA (Personal Digital Association) Hiện nhờ phát triển công nghệ PCMCIA wireless sử dụng máy tính xách tay PDA,… tích hợp sẵn Card wireless bên thiết bị c) Card USB Wireless Card usb wireless ưa chuộng cho thiết bị kết nối vào mạng không dây tính di động nhỏ gọn Có chức tương tự card PCI wireless, hỗ trợ chuẩn cắm usb (universal serial bus) Có thể tháo lắp nhanh chóng (không cần phải cắm cố định card PCI wireless) hỗ trợ cắm máy tính hoạt động 3.3 Các mô hình mạng WLAN Mạng 802.11 linh hoạt thiết kế, gồm mô hình mạng sau: - Mô hình mạng độc lập(IBSSs) hay gọi mạng Ad hoc - Mô hình mạng sở (BSSs) - Mô hình mạng mở rộng(ESSs) 3.3.1 Mô hình mạng độc lập (Independent Basic Service sets (BSSs) ) Các nút di động(máy tính có hỗ trợ card mạng không dây) tập trung lại không gian nhỏ để hình thành nên kết nối ngang cấp (peer-to-peer) chúng Các nút di động có card mạng wireless chúng trao đổi thông tin trực tiếp với , không cần phải quản trị mạng Vì mạng ad-hoc thực nhanh dễ dàng nên chúng thường thiết lập mà không cần công cụ hay kỹ đặc biệt thích hợp để sử dụng hội nghị thương mại nhóm làm việc tạm thời Tuy nhiên chúng có nhược điểm vùng phủ sóng bị giới hạn, người sử dụng phải nghe lẫn 3.3.2 Mô hình mạng sở (Basic service sets (BSSs)) Bao gồm điểm truy nhập AP (Access Point) gắn với mạng đường trục hữu tuyến giao tiếp với thiết bị di động vùng phủ sóng cell AP đóng vai trò điều khiển cell điều khiển lưu lượng tới mạng Các thiết bị di động không giao tiếp trực tiếp với mà giao tiếp với AP.Các cell chồng lấn lên khoảng 10-15 % cho phép trạm di động di chuyển mà không bị kết nối vô tuyến cung cấp vùng phủ sóng với chi phí thấp Các trạm di động chọn AP tốt để kết nối Một điểm truy nhập nằm trung tâm điều khiển phân phối truy nhập cho nút tranh chấp, cung cấp truy nhập phù hợp với mạng đường trục, ấn định địa mức ưu tiên, giám sát lưu lượng mạng, quản lý chuyển gói trì theo dõi cấu hình mạng Tuy nhiên giao thức đa truy nhập tập trung không cho phép nút di động truyền trực tiếp tới nút khác nằm vùng với điểm truy nhập cấu hình mạng WLAN độc lập Trong trường hợp này, gói phải phát lần (từ nút phát gốc sau điểm truy nhập) trước tới nút đích, trình làm giảm hiệu truyền dẫn tăng trễ truyền dẫn 3.3.3 Mô hình mạng mở rộng (Extended Service Set (ESSs)) Mạng 802.11 mở rộng phạm vi di động tới phạm vi thông qua ESS Một ESSs tập hợp BSSs nơi mà Access Point giao tiếp với để chuyển lưu lượng từ BSS đến BSS khác để làm cho việc di chuyển dễ dàng trạm BSS, Access Point thực việc giao tiếp thông qua hệ thống phân phối Hệ thống phân phối lớp mỏng Access Point mà xác định đích đến cho lưu lượng nhận từ BSS Hệ thống phân phối tiếp sóng trở lại đích BSS, chuyển tiếp hệ thống phân phối tới Access Point khác, gởi tới mạng có dây tới đích không nằm ESS Các thông tin nhận Access Point từ hệ thống phân phối truyền tới BSS nhận trạm đích 3.3.4 Một số mô hình mạng WLAN khác - Mô hình Roaming - Mô hình khuếch đại tín hiệu (Repeater Access Point) - Mô hình Point to Point - Mô hình Point to Multipoint Ưu – Nhược điểm mạng WLAN Ưu điểm - Sự tiện lợi: Mạng không dây hệ thống mạng thông thường Nó cho phép người dùng truy xuất tài nguyên mạng nơi đâu khu vực triển khai(nhà hay văn phòng) Với gia tăng số người sử dụng máy tính xách tay(laptop), điều thuận lợi Nhược điểm -Bảo mật: Môi trường kết nối không dây không khí nên khả bị công người dùng cao -Phạm vi: Một mạng chuẩn 802.11g với thiết bị chuẩn hoạt động tốt phạm vi vài chục mét Nó phù hợp nhà, nhưngvới tòa nhà lớn không đáp ứng - Khả di động: Với phát triển mạng không dây công cộng, người dùng truy cập Internet đâu Chẳng hạn quán Cafe, người dùng truy cập Internet không dây miễn phí nhu cầu Để đáp ứng cần phải mua thêm Repeater hay access point, dẫn đến chi phí gia tăng Độ tin cậy: Vì sử dụng sóng vô tuyến để truyền thông nên việc bị nhiễu, tín hiệu bị giảm tác động thiết - Hiệu quả: Người dùng trì bị khác(lò vi sóng,….) không tránh kết nối mạng họ từ nơi đến khỏi Làm giảm đáng kể hiệu hoạt nơi khác động mạng - Triển khai: Việc thiết lập hệ thống -Tốc độ: Tốc độ mạng không dây mạng không dây ban đầu cần (1- 125 Mbps) chậm so với mạng sử access point Với mạng dùng dụng cáp(100Mbps đến hàng Gbps) cáp, phải tốn thêm chi phí gặp khó khăn việc triển khai hệ thống cáp nhiều nơi tòa nhà - Khả mở rộng: Mạng không dây đáp ứng tức gia tăng số lượng người dùng Với hệ thống mạng dùng cáp cần phải gắn thêm cáp II Các phương pháp bảo mật mạng WLAN Tại phải bảo mật mạng không dây (WLAN) Để kết nối tới mạng LAN hữu tuyến ta cần phải truy cập theo đường truyền dây cáp, phải kết nối PC vào cổng mạng Với mạng không dây ta cần có máy ta vùng sóng bao phủ mạng không dây Điều khiển cho mạng có dây đơn giản: đường truyền cáp thông thường tòa nhà cao tầng port không sử dụng làm cho disable ứng dụng quản lý Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu tòa nhà bao phủ không giới hạn bên tòa nhà Sóng vô tuyến xuất đường phố, từ trạm phát từ mạng LAN này, truy cập nhờ thiết bị thích hợp Do mạng không dây công ty bị truy cập từ bên tòa nhà công ty họ Để cung cấp mức bảo mật tối thiểu cho mạng WLAN ta cần hai thành phần sau: - Cách thức để xác định có quyền sử dụng WLAN - yêu cầu thỏa mãn chế xác thực( authentication) - Một phương thức để cung cấp tính riêng tư cho liệu không dây – yêu cầu thỏa mãn thuật toán mã hóa ( encryption) Đánh giá vấn đề an toàn, bảo mật hệ thống Để đảm bảo an toàn cho mạng, cần phải xây dựng số tiêu chuẩn đánh giá mức độ an ninh an toàn mạng Một số tiêu chuẩn thừa nhận thước đo mức độ an ninh mạng Đánh giá phương diện vật lý: - Có thiết bị dự phòng nóng cho tình hỏng đột ngột Có khả thay nóng phần toàn phần - Khả cập nhập, nâng cấp, bổ sung phần cứng phần mềm - Yêu cầu nguồn điện, có dự phòng tình đột ngột - Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ… Về liệu: - Có biện pháp lưu liệu cách định kỳ không định kỳ tình phát sinh - Có biện pháp lưu trữ liệu tập trung phân tán nhằm chia bớt rủi ro trương hợp đặc biệt cháy nổ, thiên tai, chiến tranh… Trên phương diện logic, hệ thống bảo mật phải đảm bảo yêu cầu: - Tính bí mật (Confidentiality): Là giới hạn đối tượng quyền truy xuất đến thông tin Đối tượng truy xuất thông tin người, máy tính phần mềm Tùy theo tính chất thông tin mà mức độ bí mật chúng khác - Tính xác thực (Authentication): Liên quan tới việc đảm bảo trao đổi thông tin đáng tin cậy Trong trường hợp tin đơn lẻ, ví dụ tín hiệu báo động hay cảnh báo, chức dịch vụ ủy quyền đảm bảo bên nhận tin từ nguồn mà xác nhận - Tính toàn vẹn (Integrity): Đảm bảo tồn nguyên vẹn thông tin, loại trừ thay đổi thông tin có chủ đích hư hỏng, mát thông tin cố thiết bị phần mềm - Tính phủ nhận (Non repudiation): Đảm bảo người gửi người nhận từ chối tin truyền Vì vật, tin gửi đi, bên nhận chứng minh tin thật gửi hợp pháp Hoàn toàn tương tự, tin nhận, bên gửi chứng minh tin thật nhận người nhận hợp lệ - Tính khả dụng (Availability): Một hệ thống đảm bảo tính sẵn sàng có nghĩa truy nhập liệu lúc mong muốn vòng khoảng thời gian cho phép Các công khác tạo mát thiếu sẵn sàng dịch vụ Tính khả dụng dịch vụ thể khả ngăn chặn khôi phục tổn thất hệ thống công gây - Khả điều khiển truy nhập (Access Control): Là khả hạn chế truy nhập với máy chủ thông qua đường truyền thông Để đạt việc điều khiển này, thực thể cố gắng đạt quyền truy cập cần phải nhận diện, xác nhận cho quyền truy nhập đáp ứng nhu cầu người Bảo mật mạng không dây Các thiết lập bảo mật mạng không dây - Device Authorization: Các Client không dây bị ngăn chặn theo địa phần cứng họ (ví dụ địa MAC) EAS trì sở liệu Client không dây cho phép AP riêng biệt khóa hay lưu thông lưu lượng phù hợp - Encryption: WLAN hỗ trợ WEP, 3DES chuẩn TLS(Transport Layer Sercurity) sử dụng mã hóa để tránh người truy cập trộm Các khóa WEP tạo per-user, per session basic - Authentication: WLAN hỗ trợ ủy quyền lẫn (bằng việc sử dụng 802.1x EAP-TLS) để bảo đảm có Client không dây ủy quyền truy cập vào mạng EAS sử dụng RADIUS server bên cho ủy quyền việc sử dụng chứng số Các chứng số đạt từ quyền chứng nhận bên (CA) hay nhập từ CA bên Điều tăng tối đa bảo mật giảm tối thiểu thủ tục hành - Firewall: EAS hợp packet filtering port blocking firewall dựa chuỗi IP Việc cấu hình từ trước cho phép loại lưu lượng chung enable hay disable - VPN: EAS bao gồm IPSec VPN server cho phép Client không dây thiết lập session VPN vững mạng Mã hóa Mã hóa biến đổi liệu để có thành phần xác nhận giải mã Quá trình mã hóa kết hợp plaintext với khóa để tạo thành văn mật (Ciphertext) Sự giải mã cách kết hợp Ciphertext với khóa để tái tạo lại plaintext gốc hình 3-6 Quá trình xắp xếp phân bố khóa gọi quản lý khóa Có loại mật mã: - Mật mã dòng (stream ciphers) - Mật mã khối ( block ciphers) Cả hai loại mật mã hoạt động cách sinh chuỗi khóa ( key stream) từ giá trị khóa bí mật Chuỗi khóa sau trộn với liệu (plaintext) để sinh liệu mã hóa Hai loại mật mã khác kích thước liệu mà chúng thao tác thời điểm Mật mã dòng phương thức mã hóa theo bit, mật mã dòng phát sinh chuỗi khóa liên tục dựa giá trị khóa, ví dụ mật mã dòng sinh chuỗi khóa dài 15 byte để mã hóa frame môt chuỗi khóa khác dài 200 byte để mã hóa frame khác Mật mã dòng thuật toán mã hóa hiệu quả, tiêu tốn tài nguyên (CPU) Ngược lại, mật mã khối sinh chuỗi khóa có kích thước cố định(64 128 bit) Chuỗi kí tự chưa mã hóa( plaintext) phân mảnh thành khối(block) khối trộn với chuỗi khóa cách độc lập Nếu khối plaintext nhỏ khối chuỗi khóa plaintext đệm thêm vào để có kích thước thích hợp Tiến trình phân mảnh với số thao tác khác mật mã khối làm tiêu tốn nhiều tài nguyên CPU Tiến trình mã hóa dòng mã hóa khối gọi chế độ mã hóa khối mã điện tử ECB ( Electronic Code Block) Chế độ mã hóa có đặc điểm đầu vào plaintext ( input plain) luôn sinh đầu ciphertext (output ciphertext) Đây yếu tố mà kẻ công lợi dụng để nhận dạng ciphertext đoán plaintext ban đầu Một số kỹ thuật mã hóa khắc phục vấn đề trên: - Sử dụng vector khởi tạo IV ( Initialization Vector) - Chế độ phản hồi (FeedBack) Vector khởi tạo IV số thêm vào khóa làm thay đổi khóa IV nối vào khóa trước chuỗi khóa sinh ra, IV thay đổi chuỗi khóa thay đổi theo kết ta có ciphertext khác Ta nên thay đổi giá trị IV theo frame Theo cách frame truyền lần có ciphertext hoàn toàn khác cho frame Chế độ phản hồi cải tiến trình mã hóa để tránh việc plaintext sinh ciphertext suốt trình mã hóa Chế độ phản hồi thường sử dụng với mật mã khối 5 Các giải pháp bảo mật mạng WLAN 5.1 WEP 5.1.1 Giới thiệu WEP WEP (Wired Equivalent Privacy) thuật toán mã hóa sử dụng trình chứng thực khóa chia sẻ cho việc chứng thực người dùng để mã hóa phần liệu truyền phân đoạn mạng Lan không dây Chuẩn IEEE 802.11 đặc biệt sử dụng WEP WEP sử dụng khóa bí mật chia sẻ máy trạm mạng LAN không dây (WLAN) access point (AP) Khóa bí mật dùng để mã hóa gói liệu trước chúng truyền, trình chứng thực sử dụng để chắn gói liệu không bị thay đổi trình truyền 5.1.2 Mã hóa giải mã WEP a) Mã hóa Để mã hóa 802.11 frame, thực theo bước sau: + Tính toán 32-bit integrity check value (ICV) cho frame data, hay gọi CRC-32 + ICV gắn vào cuối frame data + 24-bit initialization vector (IV) tạo kết hợp với WEP encryption key + Sự kết hợp initialization vector WEP encryption key sử dụng làm input cho pseudo-random number generator (PRNG) để tạo dãy bit có kích thước với kết hợp frame data ICV + Dãy bit PRNG gọi keystream XORed với kết hợp data ICV để tạo phần mã hóa pay load gởi wireless access point wireless client + Để tạo payload cho wireless MAC frame, IV thêm vào phía trước phần mã hóa data ICV với trường khác b) Giải mã Để giải mã 802.11 frame data, thực theo bước sau: + Initialization vector (IV) có từ phía trước MAC payload + IV kết hợp với WEP encryption key + Sự kết hợp initialization vector WEP encryption key sử dụng làm input cho pseudo-random number generator (PRNG) để tạo dãy bit có kích thước với kết hợp frame data ICV Quá trình tạo keystream với bên gửi + Dãy bit PRNG XORed với data ICV mã hóa để giải mã phần data ICV payload + ICV calculation cho data payload tính toán so sánh với giá trị frame gửi tới Nếu trùng khớp liệu xem hợp lệ( không bị thay đổi trình truyền Nếu không trùng khớp frame bị loại loại bỏ 5.1.3 Các vấn đề thuật toán WEP WEP sử dụng thuật toán mã hóa RC4, thuật toán mã hóa dòng RC4 tạo key ngẫu nhiên gọi keystream Bên gửi thực XOR keystream với plaintext để tạo ciphertext Bên nhận có key sử dụng để tạo keystream đồng XOR keystream với ciphertext tạo plaintext ban đầu Quá trình hoạt động làm cho thuật toán mã hóa dòng bị công với vài kiểu công Nếu kẻ công đảo bit ciphertext, sau giải mã bit tương ứng plaintext mở Hơn nữa, người nghe trộm nhận ciphertext mã hóa keystream, điều có phép XOR plaintext Hiểu rõ phép XOR tạo bảng thống kê công để tìm plaintext WEP chống lại công Để chắn gói liệu không bị thay đổi trình truyền, sử dụng Integrity Check(IC) gói liệu Để tránh mã hóa ciphertext với keystream, vector khởi tạo Initialization Vector (IV) sử dụng để làm tăng thêm tính bảo mật key tạo key RC4 khác cho gói liệu Những IV nằm gói liệu Tuy nhiên, hai biện pháp thực không xác, kết bảo mật Phần integrity check xem CRC-32 checksum, phần mã hóa packet Tuy nhiên, CRC-32 tuyến tính, có nghĩa tính toán khác biệt bit CRC dựa khác biệt thông điệp mà họ truyền Nói cách khác, đảo bit n thông điệp tập hợp bit CRC tạo xác checksum thông điệp thay đổi Bởi đảo bit thực sau giải mã RC4, điều cho phép người công đảo bit tùy ý thông điệp mã hóa để điều chỉnh xác checksum để thông điệp kết xuất hợp lệ IV WEP có 24bits, gởi phần cleartext message Như vậy, lượng nhỏ IV đảm bảo sử dụng lại keystream Một access point bận rộn luôn gởi 1500 byte packets tốc độ 11Mbps, dùng hết lượng IVs sau 1500*8/(11*10^6)*2^24 = ~18000 giây, Điều cho phép người công thu thập ciphertext mã hóa keystream thống kê công để tìm plaintext Nguy hiểm key sử dụng tất trạm, có nhiều hội trùng lặp IV Ví dụ card wireless thông thường reset IV lần khởi tạo, tăng IV lên với packet Điều có nghĩa hai card wireless kết nối làm tăng khả đụng lặp lại IV cho người công (Thêm 802.11 cho việc thay đổi IV packet tùy chọn tức đổi giữ nguyên) 5.2 WPA WEP xây dựng để bảo vệ mạng không dây tránh bị nghe trộm Nhưng nhanh chóng sau người ta phát nhiều lổ hỏng công nghệ Do đó, công nghệ có tên gọi WPA (Wi-Fi Protected Access) đời, khắc phục nhiều nhược điểm WEP Trong cải tiến quan trọng WPA sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol) WPA sử dụng thuật toán RC4 WEP, mã hoá đầy đủ 128 bit Và đặc điểm khác WPA thay đổi khoá cho gói tin Các công cụ thu thập gói tin để phá khoá mã hoá thực với WPA Bởi WPA thay đổi khoá liên tục nên hacker không thu thập đủ liệu mẫu để tìm mật Không thế, WPA bao gồm kiểm tra tính toàn vẹn thông tin (Message Integrity Check) Vì vậy, liệu bị thay đổi đường truyền WPA có sẵn lựa chọn: WPA Personal WPA Enterprise Cả lựa chọn sử dụng giao thức TKIP, khác biệt khoá khởi tạo mã hoá lúc đầu WPA Personal thích hợp cho gia đình mạng văn phòng nhỏ, khoá khởi tạo sử dụng điểm truy cập thiết bị máy trạm Trong đó, WPA cho doanh nghiệp cần máy chủ xác thực 802.1x để cung cấp khoá khởi tạo cho phiên làm việc Có lỗ hổng WPA lỗi xảy với WPA Personal Khi mà sử dụng hàm thay đổi khoá TKIP sử dụng để tạo khoá mã hoá bị phát hiện, hacker đoán khoá khởi tạo phần mật khẩu, họ xác định toàn mật khẩu, giải mã liệu Tuy nhiên, lỗ hổng bị loại bỏ cách sử dụng khoá khởi tạo không dễ đoán (đừng sử dụng từ "PASSWORD" để làm mật khẩu) Điều có nghĩa kỹ thuật TKIP WPA giải pháp tạm thời, chưa cung cấp phương thức bảo mật cao WPA thích hợp với công ty mà không truyền liệu "mật" thương mại, hay thông tin nhạy cảm WPA thích hợp với hoạt động hàng ngày mang tính thử nghiệm công nghệ 5.3 WPA2 Một giải pháp lâu dài sử dụng 802.11i tương đương với WPA2, chứng nhận Wi-Fi Alliance Chuẩn sử dụng thuật toán mã hoá mạnh mẽ gọi Chuẩn mã hoá nâng cao AES(Advanced Encryption Standard) AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, 192 bit 256 bit Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia Chuẩn Công nghệ Mỹ, NIST (National Institute of Standards and Technology), thông qua thuật toán mã đối xứng Và chuẩn mã hoá sử dụng cho quan phủ Mỹ để bảo vệ thông tin nhạy cảm Trong AES xem bảo mật tốt nhiều so với WEP 128 bit 168 bit DES (Digital Encryption Standard) Để đảm bảo mặt hiệu năng, trình mã hoá cần thực thiết bị phần cứng tích hợp vàochip Tuy nhiên, người sử dụng mạng không dây quan tâm tới vấn đề Hơn nữa, hầu hết thiết bị cầm tay Wi-Fi máy quét mã vạch không tương thích với chuẩn 802.11i 5.4 WLAN VPN Mạng riêng ảo VPN bảo vệ mạng WLAN cách tạo kênh che chắn liệu khỏi truy cập trái phép VPN tạo tin cậy cao thông qua việc sử dụng chế bảo mật IPSec (Internet Protocol Security) IPSec dùng thuật toán mạnh Data Encryption Standard (DES) Triple DES (3DES) để mã hóa liệu, dùng thuật toán khác để xác thực gói liệu IPSec sử dụng thẻ xác nhận số để xác nhận khóa mã (public key) Khi sử dụng mạng WLAN, cổng kết nối VPN đảm nhận việc xác thực, đóng gói mã hóa 5.5 TKIP (Temporal Key Integrity Protocol) Là giải pháp IEEE phát triển năm 2004 Là nâng cấp cho WEP nhằm vá vấn đề bảo mật cài đặt mã dòng RC4 WEP TKIP dùng hàm băm(hashing) IV để chống lại việc giả mạo gói tin, cung cấp phương thức để kiểm tra tính toàn vẹn thông điệp MIC(message integrity check ) để đảm bảo tính xác gói tin TKIP sử dụng khóa động cách đặt cho frame chuỗi số riêng để chống lại dạng công giả mạo 5.6 AES(Advanced Encryption Standard) Là chức mã hóa phê chuẩn NIST(Nation Instutute of Standard and Technology) IEEE thiết kế chế độ cho AES để đáp ứng nhu cầu mạng WLAN Chế độ gọi CBC-CTR(Cipher Block Chaining Counter Mode) với CBC-MAC(Cipher Block Chaining Message Authenticity Check) Tổ hợp chúng gọi AES-CCM Chế độ CCM kết hợp mã hóa CBC-CTR thuật toán xác thực thông điệp CBC-MAC Sự kết hợp cung cấp việc mã hóa kiểm tra tính toàn vẹn liệu gửi 5.7 802.1x EAP 802.1x chuẩn đặc tả cho việc truy cập dựa cổng(port-based) định nghĩa IEEE Hoạt động môi trường có dây truyền thống không dây Việc điều khiển truy cập thực cách: Khi người dùng cố gắng kết nối vào hệ thống mạng, kết nối người dùng đặt trạng thái bị chặn(blocking) chờ cho việc kiểm tra định danh người dùng hoàn tất EAP phương thức xác thực bao gồm yêu cầu định danh người dùng(password, cetificate,…), giao thức sử dụng(MD5, TLS_Transport Layer Security, OTP_ One Time Password,…) hỗ trợ tự động sinh khóa xác thực lẫn 5.8 Lọc (Filtering) Lọc chế bảo mật sử dụng với WEP Lọc hoạt động giống Access list router, cấm không mong muốn cho phép mong muốn Có kiểu lọc sử dụng wireless lan: - Lọc SSID - Lọc địa MAC - Lọc giao thức a) Lọc SSID: Lọc SSID phương thức lọc nên sử dụng cho việc điều khiển truy cập SSID client phải khớp với SSID AP để xác thực kết nối với tập dịch vụ SSID quảng bá mà không mã hóa Beacon nên dễ bị phát cách sử dụng phần mềm Một số sai lầm mà người sử dụng WLAN mắc phải việc quản lí SSID gồm: + Sử dụng giá trị SSID mặc định tạo điều kiện cho hacker dò tìm địa MAC AP + Sử dụng SSID có liên quan đến công ty + Sử dụng SSID phương thức bảo mật công ty + Quảng bá SSID cách không cần thiết b) Lọc địa MAC Hầu hết AP có chức lọc địa MAC Người quản trị xây dựng danh sách địa MAC cho phép Nếu client có địa MAC không nằm danh sách lọc địa MAC AP AP ngăn chặn không cho phép client kết nối vào mạng Nếu công ty có nhiều client xây dựng máy chủ RADIUS có chức lọc địa MAC thay AP Cấu hình lọc địa MAC giải pháp bảo mật có tính mở rộng cao c) Lọc giao thức Mạng Lan không dây lọc gói qua mạng dựa giao thức từ lớp đến lớp Trong nhiều trường hợp người quản trị nên cài đặt lọc giao thức môi trường dùng chung, ví dụ trường hợp sau: Có nhóm cầu nối không dây đặt Remote building mạng WLAN trường đại học mà kết nối lại tới AP tòa nhà kỹ thuật trung tâm Vì tất người sử dụng remote building chia sẻ băng thông 5Mbs tòa nhà này, nên số lượng đáng kể điều khiển sử dụng phải thực Nếu kết nối cài đặt với mục đích đặc biệt truy nhập internet người sử dụng, lọc giao thức loại trừ tất giao thức, ngoại trừ HTTP, SMTP, HTTPS, FTP… III CÁC KIỂU TẤN CÔNG TRONG MẠNG WLAN Thông thường, người ta chia làm kiểu công phổ biến, công kiểu chủ động công kiểu bị động Tấn công kiểu bị động thường bắt đầu việc nghe trộm thông tin công kiểu chủ động thường chia nhỏ thành phương thức công riêng biệt như: công giả mạo, thay đổi thông tin, từ chối dịch vụ…Ngoài chia làm mức độ công riêng biệt công không sử dụng khóa mạng công vào khóa mạng Một số kĩ thuật công mạng không dây: Rogue Access point a) Định nghĩa Access Point giả mạo dùng để mô tả Access Point tạo cách vô tình hay cố ý làm ảnh hưởng đến hệ thống mạng có Nó dùng để thiết bị hoạt động không dây trái phép mà không quan tâm đến mục đích sử dụng chúng b) Phân loại + Access Point cấu hình không hoàn chỉnh Một Access Point bất ngờ trở thành thiết bị giả mạo sai sót việc cấu hình Sự thay đổi Service Set Identifier (SSID), thiết lập xác thực, thiết lập mã hóa… điều quan trọng chúng chứng thực thiết bị sai + Access Point giả mạo từ mạng VLAN lân cận Các máy khách theo chuẩn 802.11 tự động chọn Access Point có sóng mạnh mà phát để kết nối + Access Point giả mạo kẻ công tạo Giả mạo AP kiểu công “man in the middle” cổ điển Đây kiểu công mà tin tặc đứng trộm lưu lượng truyền nút Kiểu công mạnh tin tặc trộm tất lưu lượng qua mạng De-Authentication Food Attack (Tấn công yêu cầu xác thực lại) Kẻ công xác định mục tiêu công người dùng mạng wireless kết nối họ (Access Point đến kết nối đó) Chèn frame yêu cầu xác thực lại vào mạng cách giả tạo địa MAC nguồn đích Access Point người dùng Người dùng wireless nhận frame yêu cầu xác thực lại nghĩ chúng Access Point gửi đến Sau ngắt người dùng khỏi dịch vụ không dây, kẻ công tiếp tục thực tương tự với người dùng lại Thông thường người dùng kết nối lại để phục hồi dịch vụ, kẻ công nhanh chóng tiếp tục gửi gói yêu cầu xác thực lại cho người dùng Mô tả công: - Kẻ công xác định mục tiêu công người dùng mạng wireless kết nối họ(Access Point đến kết nối nó) - Chèn frame yêu cầu xác thực lại vào mạng WLAN cách giả mạo địa MAC nguồn đích Access Point người dùng - Người dùng wireless nhận frame yêu cầu xác thực lại nghĩ chúng Access Point gửi đến - Sau ngắt người dùng khỏi dịch vụ không dây, kẻ công tiếp tục thực tương tự người dùng lại - Thông thường người dùng kết nối lại để phục hồi dịch vụ, kẻ công nhanh chóng tiếp tục gửi gói yêu cầu xác thực lại cho người dùng Sniffing- Phương pháp bắt gói tin Sniffer hiểu đơn giản chương trình cố gắng nghe ngóng lưu lượng thông tin hệ thống mạng Sniffer sử dụng công cụ để nhà quản trị mạng theo dõi bảo trì hệ thống mạng Về mặt tiêu cực, sniffer sử dụng công cụ với mục đích nghe thông tin mạng để lấy thông tin quan trọng Sniffer dựa vào phương thức công ARP để bắt gói thông tin truyền qua mạng Deny of Service Attack – Dos Tấn công từ chối dịch vụ: kiểu công làm cản trở tất hoạt động mạng, làm tắc nghẽn truy cập người DoS ngăn chặn việc truy cập vào Website vòng vài Cuộc công bắt đầu hàng ngàn tín hiệu máy tính điều khiển từ xa lúc truy cập vào Website gây tải hệ thống Nhìn chung, DoS thường sử dụng mục đích mang tính thương mại, làm chậm việc kinh doanh Website công ty đối phương… Man in the middle Attack-MITM Tấn công theo kiểu man-in-the-middle trương hợp attacker sử dụng AP để đánh cắp node di động cách gửi gói tin RF mạnh AP thực đến node Các node di động nhận thấy có AP phát tín hiệu RF tốt nên kết nối đến AP giả mạo này, truyền liệu liệu nhạy cảm đến AP giả mạo attacker có toàn quyền xử lý Đơn giản kẻ đóng vai trò AP giả mạo đứng tất Client AP thực sự, chí Client AP thực không nhận thấy diện AP giả mạo Để làm cho client kết nối đến AP giả mạo công suất phát AP giả mạo phải cao nhiều so với AP thực vùng phủ sóng Việc kết nối lại với AP giả mạo xem phần roaming nên người dùng Việc đưa nguồn nhiễu toàn kênh (all-band interface- chẳng hạn bluetooth) vào vùng phủ sóngcủa AP thực buộc client phải roaming Attacker muốn công theo kiểu man-in-the-middle trước tiên phải biết giá trị SSID client sử dụng (giá trị dễ dàng có công cụ quét mạng WLAN) Sau đó, attacker phaitr biết giá trị WEP key mạng sử dụng WEP Kết nối upstream (với mạng trục có dây) từ AP giả mạo điều khiển thông qua thiết bị client PC card hay Workgroup Bridge Nhiều khi, công man-in-the-middle thực với laptop PCMCIA card Phần mềm AP chạy máy laptop nơi PC card sử dụng AP PC card thứ sử dụng để kết nối laptop đến AP thực gần Trong cấu hình này, laptop cính man-in-the-middle (người giữa) hoạt động client AP thực Từ attacker lấy thông tin giá trị cách sử dụng sniffer máy laptop Điểm cốt yếu kiểu công người dùng nhận biết Vì thế, số lượng thông tin mà attaacker thu phụ thuộc vào thời gian mà attacker trì trạng thái nayfnayf trước bị phát Bảo mật vật lý (physical security) phương pháp tốt để chống lại kiểu công Passive Attack Dictionary attack Việc dò mật dựa nguyên lý quét tất trường hợp co thể sinh tổ hợp ký tự Nguyên lý thực phương pháp khác quét từ xuống dưới, từ chữ đến chữ số… Thực tế đặt mật khẩu, nhiều người thường dùng từ có ý nghĩa liên quan tới Trên sở nguyên lý đưa quét mật theo trường hợp theo từ ngữ từ điển có sẵn, không tìm lúc quét tổ hợp trường hợp Một số kĩ thuật công khác Ngoài số kĩ thuật công khác như: - Birtday attack - Jamming Attack- Tấn công chèn ép - Social Engineering - Weak key attack - Replay attack - Tấn công dựa cảm nhận sóng mang lớp vật lý - Tấn công ngắt kết nối IV Tìm hiểu RADIUS V Tìm hiểu IDS [...]... đối với từng người 3 Bảo mật mạng không dây Các thiết lập bảo mật mạng không dây - Device Authorization: Các Client không dây có thể bị ngăn chặn theo địa chỉ phần cứng của họ (ví dụ như địa chỉ MAC) EAS duy trì một cơ sở dữ liệu của các Client không dây được cho phép và các AP riêng biệt khóa hay lưu thông lưu lượng phù hợp - Encryption: WLAN cũng hỗ trợ WEP, 3DES và chuẩn TLS(Transport Layer Sercurity)... với mật mã khối 5 Các giải pháp bảo mật mạng WLAN 5.1 WEP 5.1.1 Giới thiệu về WEP WEP (Wired Equivalent Privacy) là một thuật toán mã hóa sử dụng quá trình chứng thực khóa chia sẻ cho việc chứng thực người dùng và để mã hóa phần dữ liệu truyền trên những phân đoạn mạng Lan không dây Chuẩn IEEE 802.11 đặc biệt sử dụng WEP WEP sử dụng một khóa bí mật chia sẻ giữa các máy trạm trong mạng LAN không dây. .. cấp mức bảo mật tối thiểu cho mạng WLAN thì ta cần hai thành phần sau: - Cách thức để xác định ai có quyền sử dụng WLAN - yêu cầu này được thỏa mãn bằng cơ chế xác thực( authentication) - Một phương thức để cung cấp tính riêng tư cho các dữ liệu không dây – yêu cầu này được thỏa mãn bằng một thuật toán mã hóa ( encryption) 2 Đánh giá vấn đề an toàn, bảo mật hệ thống Để đảm bảo an toàn cho mạng, cần... vàochip Tuy nhiên, rất ít người sử dụng mạng không dây quan tâm tới vấn đề này Hơn nữa, hầu hết các thiết bị cầm tay Wi-Fi và máy quét mã vạch đều không tương thích với chuẩn 802.11i 5.4 WLAN VPN Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security)... thể xây dựng danh sách các địa chỉ MAC được cho phép Nếu client có địa chỉ MAC không nằm trong danh sách lọc địa chỉ MAC của AP thì AP sẽ ngăn chặn không cho phép client đó kết nối vào mạng Nếu công ty có nhiều client thì có thể xây dựng máy chủ RADIUS có chức năng lọc địa chỉ MAC thay vì AP Cấu hình lọc địa chỉ MAC là giải pháp bảo mật có tính mở rộng cao c) Lọc giao thức Mạng Lan không dây có thể lọc... tấn công riêng biệt là tấn công không sử dụng khóa mạng và tấn công vào khóa mạng Một số kĩ thuật tấn công trong mạng không dây: 1 Rogue Access point a) Định nghĩa Access Point giả mạo được dùng để mô tả những Access Point được tạo ra một cách vô tình hay cố ý làm ảnh hưởng đến hệ thống mạng hiện có Nó được dùng để chỉ các thiết bị hoạt động không dây trái phép mà không quan tâm đến mục đích sử dụng của... theo kiểu man-in-the-middle này trước tiên phải biết được giá trị SSID là các client đang sử dụng (giá trị này rất dễ dàng có được bằng các công cụ quét mạng WLAN) Sau đó, attacker phaitr biết được giá trị WEP key nếu mạng sử dụng WEP Kết nối upstream (với mạng trục có dây) từ AP giả mạo được điều khiển thông qua một thiết bị client như PC card hay Workgroup Bridge Nhiều khi, tấn công man-in-the-middle... Authentication: WLAN hỗ trợ sự ủy quyền lẫn nhau (bằng việc sử dụng 802.1x EAP-TLS) để bảo đảm chỉ có các Client không dây được ủy quyền mới được truy cập vào mạng EAS sử dụng một RADIUS server bên trong cho sự ủy quyền bằng việc sử dụng các chứng chỉ số Các chứng chỉ số này có thể đạt được từ quyền chứng nhận bên trong (CA) hay được nhập từ một CA bên ngoài Điều này đã tăng tối đa sự bảo mật và giảm tối... Chuẩn và Công nghệ của Mỹ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này Và chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mỹ để bảo vệ các thông tin nhạy cảm Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES (Digital Encryption Standard) Để đảm bảo về mặt hiệu năng, quá trình mã hoá cần được thực hiện... một thuật toán mã hóa ( encryption) 2 Đánh giá vấn đề an toàn, bảo mật hệ thống Để đảm bảo an toàn cho mạng, cần phải xây dựng một số tiêu chuẩn đánh giá mức độ an ninh an toàn mạng Một số tiêu chuẩn đã được thừa nhận là thước đo mức độ an ninh mạng Đánh giá trên phương diện vật lý: - Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột Có khả năng thay thế nóng từng phần hoặc toàn phần - Khả năng ... thống mạng dùng cáp cần phải gắn thêm cáp II Các phương pháp bảo mật mạng WLAN Tại phải bảo mật mạng không dây (WLAN) Để kết nối tới mạng LAN hữu tuyến ta cần phải truy cập theo đường truyền dây. .. người Bảo mật mạng không dây Các thiết lập bảo mật mạng không dây - Device Authorization: Các Client không dây bị ngăn chặn theo địa phần cứng họ (ví dụ địa MAC) EAS trì sở liệu Client không dây. .. liệu truyền phân đoạn mạng Lan không dây Chuẩn IEEE 802.11 đặc biệt sử dụng WEP WEP sử dụng khóa bí mật chia sẻ máy trạm mạng LAN không dây (WLAN) access point (AP) Khóa bí mật dùng để mã hóa gói